[Schimmelreiter]

(05.10.2014, 22:32)Michi240281 schrieb:  Naja das bringt mir dann ja nix! Es geht mir um folgendes:

Doch, das brächte Dir schon was ...

(05.10.2014, 22:32)Michi240281 schrieb:  Kann man diese mit Freetz wieder bekommen?

Du kriegst zwar nicht das AVM-VPN zurück, aber andere - ebenfalls auf IPSec basierende - VPN-Clients/Server.
Da sollte auch mindestens einer dabei sein, der mit einem AVM-VPN verbinden kann.

Allerdings bleibt ein Problem, welches auch durch ...

(05.10.2014, 22:32)Michi240281 schrieb:  Alternativ muss ich eben komplett mit allem auf OpenVPN umsteigen!

... nicht gelöst werden kann:

Wenn der VPN-Server nicht auch der Zugangsrouter ist, brauchst Du die Möglichkeit, eine (statische) Route im Zugangsrouter einzutragen, damit alle Rechner im Heimnetz auch wie gewohnt alle Rechner im entfernten Netz durch das VPN erreichen können.

Angenommen, Du hast das Netz 192.168.1.0/24 und die andere Seite des VPNs hat das Netz 192.168.2.0/24, dann konnte (früher) Deine Fritz!Box auch was mit Ziel-Adressen wie 192.168.2.20 anfangen, da sie ja selber die VPN-Verbindung aufgebaut und dabei die Routing-Informationen entsprechend aktualisiert hat.

Selbst wenn Du nun die Fritz!Box dazu bringen würdest, auch als IP-Client eine VPN-Verbindung aufzubauen, dann wären für Deine Rechner Ziel-Adressen wie 192.168.2.20 unerreichbar, da sie zum default gateway (Also dem Genexis) laufen, der nichts vom VPN auf der Fritz!Box und damit vom richtigen Weg zu diesem Ziel weiß (Und deshalb ist es auch auf der Fritz!Box inaktiv, weder verfügt die Fritz!Box noch über die Möglichkeit, Adressen zuzuweisen - z.B. für die Road Warrior-VPNs (Smartphone, einzelner Rechner) - noch hat sie Einfluß auf das Routing von ganzen Netzen, wie sie es für die LAN2LAN-Kopplung bräuchte).

Da beißt die Maus keinen Faden ab:
Internet-Zugang kann man das, was fl!nk den Kunden momentan zumutet, nicht nennen.
Das ist kaum mehr als ein Surf-only-Zugang, wie man ihn auch im Internet-Cafe hätte.
Das Internet besteht aber aus einem Bißchen mehr als nur dem WWW.

[Michi240281]

Mit komplett auf OpenVPN umsteigen meine ich dann natürlich auch die Verwendung des Genexis! Also Portweiterleitung auf RPi im Genexis einrichten, und dann OpenVPNs einrichten. Wir haben da im RPi nen Befehl "iptables" eingetragen, damit kann ich dann auch auf alle anderen Geräte im Netzwerk zugreifen (hoffe ich zumindest in der Konstellation mit dem Genexis und FB als IP-Client; vorher ging das auf jeden Fall, also ich hatte ja nur die FB dran und dabei auch nur mit den iptables im RPi Zugriff auf alle Netzwerkgeräte bekommen), oder geht das dann wieder nicht? Ne Routerkaskade hätte ich dann ja nicht mehr und der RPi kriegt vom Genexis ne öffentliche IPv6..........?!?

[Schimmelreiter]

Let op!

Du bist per VPN verbunden, dabei hat Dein Client z.B. die IPv4 10.8.0.2 und der VPN-Server die IPv4 10.8.0.1
Der Client kriegt mitgeteilt, daß er durch das vpn_gateway (Also 10.8.0.1) das Netzwerk 192.168.1.0/24 erreichen kann, also Dein Heimnetz).

Wenn nun auf dem Pi IPv4-Forwarding aktiv ist, dann klappt das soweit auch:
Der Client unterwegs will 192.168.1.20 zuhause kontaktieren, sendet das Päckchen über das VPN an 10.8.0.1, der Server ist auch gleichzeitig im Netz 192.168.1.0/24 und kann 192.168.1.20 daher durch den Router kontaktieren, 192.168.1.20 kriegt die Anfrage und beantwortet sie ... an 10.8.0.2 ... das Paket schickt er an den Router und der sagt "Kenne mer net, broche mer net, fott damit!".
Am Client kommt die Antwort also nie an ...

Mit der Fritz!Box ist das kein Problem, einfach unter
Heimnetz -> Netzwerkeinstellungen -> IPv4-Routern eine statische Route
Netzwerk 10.8.0.0
Maske 255.255.255.0
Gateway 192.168.1.2 (bzw. der Adresse des Pi im LAN)
einrichten und die Fritz!Box weiß dann - im Gegensatz zum Genexis - wohin mit Paketen für das Ziel 10.8.0.2 ...

[Michi240281]

Also das habe ich jetzt nicht ganz verstanden. Du schreibst erst, es würde gehen, dann aber wieder, dass am Client keine Antwort ankommt! Kannst du das erläutern? Die Fritzbox können/müssen wir ja denke ich eh außen vor lassen, da sie ja nur als IP Client arbeitet und an sich nicht mehr macht/machen kann, als Internet über WLAN zu verteilen und die Telefonie zu ermöglichen.

Ich hatte das letzte Tage schonmal getestet. Also FB mal ganz außen vor:

Im Genexis IPv6 Portweiterleitung auf RPi eingerichtet. Diesen Port dann bei feste-ip zusammen mit der IPv6 vom Pi eingetragen. Verbindung vom iPhone zum RPi war damit möglich über den eingerichteten Portmapper. Frage ist dann nur, ob ich dann mit der Erstellung der iptable auch vim iPhone auf alle anderen Netzwerke zugreifen kann. Mit der FB + P1022 ging das, auch ohne dass ich in der FB eine statische Route eingerichtet habe. So wie ich es verstehe, übernimmt der Pi dann diese Routen?

Oder: Kann/Soll ich bei der FB dennoch die Route einrichten, und das funktioniert dann, obwohl sie nur als IP Client arbeitet?

[Michi240281]

Update:

Habe es hinbekommen, es funktioniert! Nur mit den iptables im RPi. In der FB musste/habe ich gar keine Routen eingerichtet!

Tja, jetzt läuft die FB als IP Client und es ist die totale Verschwendung, dass ich überhaupt eine FB habe! Echt beknackt! :-(

Was mir auffällt: Die OpenVPN Verbindung zu ziemlich langsam, also schon echt nervig! Ne Idee, woran das liegen könnte? Kann man da noch irgendwas tunen?

Was neues bzgl. der Gerüchteküche?

[Schimmelreiter]

Dann hast Du vermutlich eine Verbindung mit tap (Bridged) gebastelt, ich habe bisher tun (Routed) probiert.
Oder es liegt am masquerading via iptables, keine Ahnung, muß ich mich mal intensiver mit befassen.

Ohne weitere Hilfsmittel klappt es jedenfalls mit tun nicht.


Nachtrag:
Zum Tuning: Mit der MTU rumzuspielen könnte helfen. Die ist durch den 6rd-Tunnel niedriger als bei einer nativen IPv6-Anbindung und zwar deutlich (1280 oder so).
Wenn OpenVPN trotzdem Pakete zu 1480, 1492 oder gar 1500 packt, dann werden die fragmentiert ...

[Michi240281]

Ne wir haben tun Verbindungen aufgebaut.

Ohne die iptable (masquerading) habe ich auch nur Zugriff auf den Pi, mit dann auch auf alle Netzwerkgeräte! Wenn du magst kann ich dir heute Abend die Befehle zumailen.

Im Genexis kann ich die MTU aber doch garnicht einstellen meine ich?!? Und in der FB bringt es ja eh nix, weil die ja außen vor ist denke ich! Ist ja jetzt folgende Verbindung:

iPhone (IPv4) ----> feste-ip portmapper (IPv4 zu IPv6 vom Pi) -----------> Genexis -------------> über IPv6 Portweiterleitung auf RPi

[Tuffi]

(06.10.2014, 00:45)Arndt schrieb:  Hai,

nein, ich bin nicht bei BorNet. Die Info kam von der DG-Business im letzten Jahr, [...]

cu - Arndt

Ich möchte hier nochmal drauf eingehen.
Ich bin, leider, Kunde der Bornet.
In den älteren Gebieten ist es tatsächlich so, das die (älteren) Geräte als Bridge Betrieben werden.
Diese sind auch von Genexis und sehen so aus:
   
Bild kopiert von http://www.gutefrage.net/frage/wie-schliesse-ich-cat6-und-koaxial-an-genexis-box-an

Hier fällt die CGN-IP (oder wenn man Glück hatte, öffentliche IPv4) direkt aus nem RJ45 Port raus.


Da ich den Anschluss noch recht neu habe, ist bei mir ebenfalls ein HRG1000 von der Deutschen Glasfaser installiert worden. Da ich ebenfalls nicht akzeptieren möchte das mir ein Zwangsrouter aufgedrückt wird, war ich deshalb schon bei drei verschiedenen Infobus-Nachmittagen der DGF, mit der Antwort:
[...] Zudem teilen wir Ihnen mit, dass der Router nur im „routermode“ läuft und keine weiteren Zusatzfunktionen erfüllt. [...]


Gruß,
Tuffi

[Michi240281]

Das ist echt so mega beschissen! Man kann eigentlich nur auf eine der folgenden Optionen hoffen:

1. die DGF lässt Fremdrouter wieder zu und/oder bringt ein Firmwareupdate um den Router als Bridge laufen zu lassen. (für mich unwahrscheinlich, denn wenn die alten BorNet Geräte so laufen wäre es für die DGF ja ein leichtes, solch ein Firmwareupdate rauszubringen)

2. Jmd schafft es das dumme Genexis Teil zu knacken?!?

3. die Rechtslage ändert sich sodass Zwangsrouter verboten werden

4. Vllt kauft sich die Telekom bei der DGF ein sodass man dann später nen Anschluss über Telekom abschließen kann in der Hoffnung, dass dann eigene Router möglich sind (aber vermutlich bleibt das Netz und die Hardware dann in DGF-Händen?!?)


Hat hier jmd ne Idee, ob und wann die DGF auf dynamische IP-Adressen umschwenkt? Denn z.Zt. ist es definitiv so, dass die öffentliche IPv6 Adresse immer dieselbe ist! So lange das so ist, läuft mein System erstmal! Ändern die wieder was (was im übrigen einfach so passiert ohne dass man davon informiert würde), muss man wieder Hand anlegen. Ich glaube wenn das kommt werde ich der DGF meine Arbeiten in Rechnung stellen! Kann ja nicht angehen dass man da immer dran rumwerkeln muss, weil die Deppen mal wieder nen Update einspielen ohne mich zu fragen!

[yupiter]

Hallo Michi,
Kannst du es beschreiben, wie du die Verbindung ip4 -> DGF -> ip4 geschafft hast?
Ich habe im Heimnetz eine ip4 Heizunssteuerung. Will sie über Smartphone ip4 ansteuern.
Im Heimnetz hängt am Genexis die Fritzbox 7490
Gruss yupiter